移动金融App安全分析及监管措施

摘要：随着移动互联网技术的快速发展，越来越多的金融机构将借贷、支付、交易场景转移到线上，大量的移动金融App应运而生。本文研究了移动金融App的安全现状，针对目前金融App面临的安全漏洞、恶意程序、SDK隐患以及违规索权等风险问题，分析了其主要成因，并从安全监管、权益保护、违规惩戒、协同监管等方面提出了金融App安全规范的措施建议。

关键词：移动金融；安全风险；监管措施

一、移动金融App的发展现状

现今，智能手机已经成为人们生活中不可或缺的重要组成部分，很多传统的生活、工作、业务模式已实现了向移动智能端迁移，并催生了大量的移动客户端应用软件（App），其中就包括金融类App。对于互联网金融来说，金融类App就像传统银行网点的业务柜台，可以实现所有信息在金融机构与客户之间的交换，极大地提升了金融业务办理的便捷性和可得性。据《2019年金融行业移动App安全观测报告》（以下简称《报告》）统计，截至2019年10月，我国移动金融App已达到13.3万款，约占整个移动App市场份额的5%，并仍处于高速增长阶段。可见，移动金融App已经深入应用到大众生活的方方面面。然而这些App或多或少也存在安全问题。2019年12月，公安部门集中查处整改的100款违法违规App及其运营企业中，银行和贷款等金融App成为“重灾区”，其中不乏执照经营的银行业金融机构。可见，移动金融App的安全问题不容乐观。

二、移动金融App的安全风险

（一）高危安全漏洞普遍存在。《报告》显示，通过对232个安卓应用市场中超13万款金融类App的监测发现，73.23%存在不同程度的安全漏洞，70.22%存在高危漏洞，平均每款移动金融类App存在20.3个安全漏洞，且6.7个是高危漏洞；攻击者可利用这些漏洞窃取客户数据、植入恶意代码、进行App仿冒、攻击正常服务等，具有严重的安全威胁。从金融App类型来看，互联网第三方支付和信托类App的高危漏洞最为突出，投资理财、保险等金融App高危漏洞也相对严重。（二）恶意程序带来巨大威胁。《报告》监测显示，8217款金融类App被检测出恶意程序，感染率为6.16%，主要涉及客户的隐私数据收集、窗口广告推送、流量资源占用、恶意扣费等行为，在用户不知情或未授权的情况下，对个人信息及财产安全带来巨大威胁。（三）广泛应用SDK引入风险。SDK是辅助开发同类应用软件的相关文档、范例和工具的集合。通常，开发者为了提升效率、降低成本，开发过程中会选择引用第三方SDK，但其常常存在较多安全隐患，是造成用户个人信息在网络上“裸奔”的罪魁祸首。据《报告》监测显示，20.48%的金融类App共嵌入10万多个第三方SDK，平均每款App嵌入3.8个；其中，推送类、统计类、社交类是嵌入SDK的前三。（四）违规索权侵犯用户隐私。移动金融App超范围获权现象普遍存在，常获取设备的高敏感权限，如超范围读取手机状态和身份权限，获取读取通讯录、摄像头、通话录音等与服务无关的权限，且未对收集到的相关信息所对应的功能进行有效说明，严重危害个人信息安全。

三、移动金融App的风险成因

（一）互联网金融井喷增长，缺乏准入标准。由于互联网金融“野蛮生长”时期留下的隐患，前期移动金融App更注重其互联网特性，准入门槛不高，这导致当前市场上的移动金融App存在安全防护能力参差不齐的问题，成为威胁金融信息安全与用户财产安全的重大隐患。（二）开发者安全意识弱，缺乏有效加固措施。“加固”是提升已App安全防护能力的重要手段，不仅能使其系统稳定性得到提升，还能在一定程度上规避风险。在如此高风险的背景下，仅有不到1/5的金融类App进行过一次安全加固，应用开发主体自我防护意识不强。（三）SDK安全性不高，缺乏有效的市场监管。目前，有超过60%的SDK含有多种漏洞，并存在隐瞒收集用户个人信息等行为。由于SDK市场缺乏有效的监管，其自身的安全性很难得到保证，当SDK被广泛使用到App开发中时，影响范围极广。（四）权责监管不完善，缺乏可追溯机制。移动金融App安全事件频发，相应的权责监管机制还不够完善。在法制层面，违法成本及处罚力度过低，不能引起相关主体的重视，多数金融App首次曝出问题时仅被责令限期整改、警告处罚，并未被强行要求罚款或下架处理；在技术层面，缺乏持续性、主动性的监管方式，多依靠舆论影响与开发主体自觉，来促使用户信息得到正规合理保护；在市场环境方面，移动金融App涉及开发者、金融服务主体、运营主体、安全厂商等众多环节，多方常常各自为营，涉及的主管机构权责划分不尽相同，难免出现监管盲点，让不法行为有机可乘。

四、政策引导与措施建议

（一）推进实名制备案，加强App安全监管力度。2019年9月，人总行下发的《关于金融行业标准加强移动金融客户端应用软件安全管理通知》（银发〔2019〕237号），提出了要从提升安全防护能力、加强个人信息安全保护、提高风险监测能力以及健全投诉处理机制等方面提高金融App的监督管理力度。12月，中国互联网金融协会启动了金融客户端软件备案管理，将推动App“实名制备案”成为监管常态手段，此举也将提高金融App的准入门槛，让合规的金融App可以提供更加安全的服务。（二）规范技术标准，加强个人信息保护。2020年2月，人总行印发的《个人金融信息保护技术规范》从个人金融信息全生命周期管理的角度，对强化个人金融信息风险识别和监控、保障个人金融信息主体合法权益、建立健全风险事件处置机制方面提出了要求。各金融App主体应结合这份操作指南，提升金融服务产品、用户信息传输与存储等环节的信息安全管理。（三）加大违规打击力度，保障金融消费者权益。对于移动金融App存在的安全风险问题，在加强技术标准规范、加大审核监督的基础上，仍需加大打击处罚力度。对于互联网大数据之下的金融消费者个人隐私、风险数据泄露等安全问题事件要严厉惩治，才能切实保障金融消费者的权益，倒逼开发主体加快升级安全防护技术。（四）建立协同监管体系，多途径提升治理成效。移动金融App是集传统金融业、软件开发、移动支付以及信息通信等多种业态于一身的集合体，要加强对金融App的监管，需构建行业监管、行业自律、机构自治、社会监督多层次协同配合的金融监管治理体系。同时，可通过共建安全风险预警机制，将不符合安全标准的App拉入黑名单，引导消费者提升防范意识和辨别能力，降低因使用问题App而发生安全风险的几率，提高安全问题整治成效。随着互联网技术的快速发展，移动金融App的应用场景将更加广泛，随之而来的安全问题不容忽视，监管措施还需不断强化升级。相信在各管理部门的协同监管与相关法规的严格制约下，移动金融App的准入标准将不断提高，数据信息保护措施将不断完善，从而进一步降低安全风险，促使移动金融App的应用向规范化发展。

参考文献：

[1]薛岩. 移动支付的风险及防范措施探析[J]. 金融科技时代，2019(4):52-54.

[2]爱加密. 万特互联时代，如何做好金融行业App安全防护[J]. 金融电子化，2019(7):98.

作者:李军 王金红 许倩单位:1.中国人民银行安康市中心支行 2.中国人民银行旬阳县支行